JP2009540408A - 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム - Google Patents
記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム Download PDFInfo
- Publication number
- JP2009540408A JP2009540408A JP2009513657A JP2009513657A JP2009540408A JP 2009540408 A JP2009540408 A JP 2009540408A JP 2009513657 A JP2009513657 A JP 2009513657A JP 2009513657 A JP2009513657 A JP 2009513657A JP 2009540408 A JP2009540408 A JP 2009540408A
- Authority
- JP
- Japan
- Prior art keywords
- block
- command
- control information
- access control
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Abstract
【課題】記憶装置にアクセスする方法を提供すること。
【解決手段】この方法は、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信することであって、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントと関連付けられること、記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、ならびに処理の結果に応答してブロック・ベースの記憶アクセス・コマンドを選択的に実行することを含む。
【選択図】図2
【解決手段】この方法は、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信することであって、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントと関連付けられること、記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、ならびに処理の結果に応答してブロック・ベースの記憶アクセス・コマンドを選択的に実行することを含む。
【選択図】図2
Description
本発明は、記憶装置にアクセスする方法、システム、およびコンピュータ・プログラムに関する。
現代の記憶システムは、限定はしないがホスト・コンピュータや記憶装置などの装置間でデータを転送するのにSmall Computer System Interface (SCSI)プロトコルを使用する。
固定サイズ・データ・ブロックを格納するブロック・ベースの記憶装置にアクセスするのにブロック・ベースのコマンド(限定はしないがSCSIブロック・コマンドなど)が使用される。1つまたは複数のデータ・ブロックは論理装置(LUN)を形成し、それぞれの固定サイズ・データ・ブロックは論理ブロック・アドレスによってアドレス指定される。
ブロック・ベースのSCSIコマンドは、アクセス制御のための組込み機構を有さない。言い換えれば、ブロック・ベースのSCSIコマンド・プロトコルは、ある論理ブロック・アドレスに位置する所与の固定サイズ・データ・ブロックに対するアクセス制御を指定または実施することのできる機構を提供しない。
そのようなアクセス制御機構の欠如により、複数のホストを複数の記憶装置に接続することのできるストレージ・エリア・ネットワーク(SAN)で現実の制限が課される。現代のSANでは、単一の(共有)記憶装置が複数の論理装置内の複数のクライアントのデータを格納することができ、各クライアントは、記憶装置によってサービスされる論理装置のサブセットに対するアクセスを有するべきである。
多くの現代のSANは、ファイバ・チャネル交換ファブリックによって実装される。図1は、複数のコンピュータ10〜18、複数のサーバ30〜34、交換ファブリック(SAN)40、および複数の記憶装置50〜56を含む環境80を示す。コンピュータ10〜18は、ネットワーク20を介してサーバ30〜34に接続される。ネットワーク20は、ファイアウォール22を介してインターネット26にも接続される。
サーバ30〜34のうちの各サーバは、1つまたは複数のホスト・バス・アダプタ(HBA)を介して交換ファブリック40に接続され、記憶装置50〜56は、1つまたは複数のFC(ファイバ・チャネル)ホスト・アダプタ(HA)を介して交換ファブリック交換機40に接続される。
コンピュータ10〜18は、サーバ30〜34に、ファイルを受信する要求を送信することができる。そのサーバは、要求を受信し、それに応答して、記憶装置50〜56のうちの記憶システムに格納された1つまたは複数の固定サイズ・データ・ブロックを受信する1つまたは複数の要求を生成する。サーバは、1つまたは複数の固定サイズ・データ・ブロックにアクセスするための1つまたは複数のブロック・ベースのSCSIコマンドを生成することができる。
こうしたSANゾーニングでは、別法として、または加えて、アクセス制御機構を提供するのに論理装置マスキングが使用される。こうした機構は、HBAポートとHAポートの間の接続性と、特定のHAポートおよびHBAポートを介する論理装置のアクセス可能性とを制限することに基づく。ファブリック・ゾーニングは、ファイバ・チャネル交換ファブリックをゾーンに分割することを含み、ファブリック・ノードと別のファブリック・ノードが共通ゾーンに属する場合、そのファブリック・ノードはその別のノードのみと通信することができる。ノードは、そのファイバ・チャネル・ファブリック・アドレスまたはそのワールド・ワイド・ポート名(WWPN)によって識別される。論理装置マスキングは、記憶論理装置にアクセスすることのできるホストHBAポートを指定するアクセス制御リストを維持することを含む。
N_Port_ID仮想化(NPIV)は、HBAポートを仮想化するための規格であり、したがって、物理的マシンではなく、仮想マシンに基づいてゾーニングおよびLUNマスキングを可能にする。
ファイバ・チャネル・セキュリティ・プロトコル(FC−SP)規格(技術委員会T11所有)は、ファブリック内のノード間のデータ交換のセキュア・チャネルを提供する規格を指定する。
ファブリック・ゾーニングおよび論理装置マスキングは、単一のホストによって1つまたは複数の仮想マシンをホストすることのできる現代のコンピューティング環境に対して、特にホスト・コンピュータに仮想マシン(または仮想マシン部分)を動的に割り当てる環境に対して十分に適合されない。
オブジェクト・ベースの記憶装置(OSD)システムは、データを可変サイズのオブジェクトとして編成する。データ要素は、論理ブロック・アドレスではなく、オブジェクト識別情報によってアクセスされる。ANSI T10 OSD規格は、固定サイズ・データ要素をサポートするように適合されず、ブロック・ベースのSCSIコマンドを使用しない、オブジェクト・ベースのアクセス制御機構を定義する。
大部分の既存システムならびに様々な現代のシステムはOSDシステムではない。そうしたシステムは、ブロック・ベースの記憶アクセス・コマンドによってアクセスすることができる。ブロック・ベースの記憶装置にアクセスする効率的な方法、システム、およびコンピュータ・プログラムを提供することが求められている。
記憶装置にアクセスする方法であって、この方法は、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信することであって、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントと関連付けられること、記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、ならびに処理の結果に応答してブロック・ベースの記憶アクセス・コマンドを選択的に実行することを含む。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドが、少なくとも1つの固定サイズ・データ・ブロックと関連付けられ、暗号で保護されたアクセス制御情報が、その少なくとも1つの固定サイズ・データ・ブロックおよび追加の固定サイズ・データ・ブロックを含む論理装置と関連付けられる。
好都合なことに、暗号で保護されたアクセス制御情報は、機能情報および検証タグを含み、処理は、検証タグおよび秘密鍵を使用することによって少なくとも機能情報を認証することを含む。
好都合なことに、この方法は、第1リンクを使用して秘密鍵を送信すると共に、第2リンクを介してブロック・ベースの記憶アクセス・コマンドを受信することをさらに含む。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドは、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドは、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドは、NetworkBlock Device (NBD)コマンドである。
図面と共に行われる以下の詳細な説明から本発明をより完全に理解されよう。
ブロック・ベースの記憶装置にアクセスする方法、システム、およびコンピュータ・プログラム。1つまたは複数の固定サイズ・データ・ブロックに対するクライアントのアクセス権を定義するアクセス制御ポリシーに基づいて、アクセスを許可または拒否することができる。複数の固定サイズ・データ・ブロックのうちの1つは、論理装置または論理装置の一部を形成することができる。クライアントおよびアクセス制御の定義は、実装に応じて変更することができる。クライアントのアクセス権を動的に変更することができる。クライアントは、物理的サーバ、仮想マシン、または別の論理エンティティでよい。
以下で述べる装置、方法、およびコンピュータ・プログラムは本質的に、物理的ではなく、論理的である。クライアントの役割を果たすエンティティには柔軟性があり、任意の実装についてかなり任意の方式で選ぶことができる。
ブロック・ベースの手法は、オブジェクト・ベースの手法よりも、単純で、ずっと少ない記憶アクセス・コマンドを使用する。オブジェクトを記述するのに必要なメタデータの量は、1つまたは複数のブロックを記述するのに必要なメタデータの量よりもずっと多い。
説明の都合上、以下の例のいくつかは、SCSIコマンドに関するものとなる。本発明が他のブロック・ベースの記憶アクセス・コマンドに適用可能であることを当業者は理解されよう。例えば、ブロック・ベースの記憶アクセス・コマンドは、Virtual Shared Disk(VSD)にアクセスするためにGeneral Parallel File Storage(GPFS)システムで使用されるGPFSコマンドでよい。GPFSは、複数のディスク(または複数の記憶装置)にわたって個々のファイルから固定サイズ・データ・ブロックを「ストリッピング」し、こうしたブロックを並列に読み取り、書き込み、あるいはその両方を行うことによって高性能I/Oを提供する。さらに、GPFSは、単一のI/Oオペレーションでより大きなデータ・ブロックを読み取り、または書き込むことができる。
GPFSのvirtual shared disk (VSD)構成要素は、ストレージ・アクセス・ネットワーク:storageaccess network (SAN)付加モデル、VSDサーバ・モデル、およびハイブリッド・モデルという3つの構成をサポートする。説明を単純にするために、SAN付加モデルを例示する。例示する方法、システム、およびコンピュータ・プログラムをこうした3つの構成のいずれにも適用できることを当業者は理解されよう。
さらに別の例では、Network Block Device (NBD)プロトコルを使用するときに、例示する方法、システム、およびコンピュータ・プログラムを適用することができる。NBDは、ローカル・クライアント上のハード・ディスクやハード・ディスク・パーティションなどのブロック装置をシミュレートするが、現実の物理的バッキングを提供するリモート・サーバにネットワークを介して接続する。NBDクライアントから、リモート・サーバに常駐するNBD装置にブロック・ベースのコマンドを転送し(NBD装置はブロック・ベースのコマンドを実行する)、応答してステータスおよびデータを受信するのにNBDを使用することができる。NBDプロトコルは、SCSI層の上の上位のUNIX(R)/Linux(R)ブロック装置層で動作し、したがって、ネットワークを介して記憶システムに送信する前に汎用ブロック・コマンドをブロック・ベースのSCSIコマンドにする必要がなくなる。
図2は、本発明の一実施形態による環境90を示す。
環境90は、アクセス制御ポリシーの実施に関与するように適合されたセキュリティ・アドミニストレータ70を含む。加えて、サーバ30’〜34’がさらに、暗号で保護されたアクセス制御情報に関連するブロック・ベースのコマンドを生成するように適合される。
通常、暗号で保護されたアクセス制御情報は、多くの固定サイズ・ブロックを含むことのできる論理装置または論理装置の一部と関連付けられ、ブロック・ベースの記憶アクセス・コマンドは、論理装置または論理装置の一部の中の1つまたは複数の固定サイズ・ブロックに関係する。
暗号で保護されたアクセス制御情報ならびにアクセス制御情報は必ずしもクライアント識別情報を含まないことに留意されたい。好都合なことに、セキュリティ・アドミニストレータは、クライアントの識別に応答して、どれが制御情報にアクセスしてクライアントに送信するかを選択するが、前記識別は、アクセス制御情報には含まれず、クライアントで生成された、暗号で保護されたアクセス制御情報では提供されない。
環境90は、複数のコンピュータ10〜18、複数のサーバ30’〜34’、ストレージ・エリア・ネットワーク40’(交換ファブリックSANでよい)、および複数の記憶装置50〜56を含む。コンピュータ10〜18は、ネットワーク20を介してサーバ30’〜34’に接続される。ネットワーク20は、ファイアウォール22を介してインターネット26にも接続される。
セキュリティ・アドミニストレータ70を様々な場所に配置することができ、様々なコンピュータ、サーバ、および記憶装置に様々な方式で接続することができることに留意されたい。
サーバおよび記憶装置のグループごとに複数のセキュリティ・アドミニストレータを割り振ることができることにさらに留意されたい。セキュリティ・アドミニストレータを集中型アーキテクチャまたは分散型アーキテクチャによって特徴付けることができ、セキュリティ・アドミニストレータの様々な部分が様々なサーバ、コンピュータ、およびネットワーク内に常駐できることにさらに留意されたい。例えば、1つまたは複数の仮想マシンをホストするサーバまたはコンピュータ内にセキュリティ・アドミニストレータを組み込むことができ、セキュリティ・アドミニストレータは、分散型アプリケーションとして実行中の分散型アプリケーションの形態を取ることができる。
本発明の一実施形態によれば、1つまたは複数のサーバあるいは1つまたは複数の記憶装置あるいはその両方の中にセキュリティ・アドミニストレータ70を組み込むことができる。
セキュリティ・アドミニストレータ70をストレージ・エリア・ネットワーク40’に接続することができるが、これは必ずしもそうであるわけではない。記憶アクセス・ネットワーク40’に属していないリンクを介してサーバ30’〜34’および記憶装置50〜56にセキュリティ・アドミニストレータを接続することができる。サーバ30’〜34’と記憶装置50〜56の間のセキュリティ・アドミニストレータ70の間で接続される破線は、こうしたリンクを表す。
セキュリティ・アドミニストレータ70は、信頼できるエンティティである。したがって、セキュリティ・アドミニストレータ70は、事前定義プロトコルに従って動作することができ、適切に秘密鍵を格納することができ、アクセス制御ポリシーを実施することができる。記憶装置50〜56も信頼できる。各記憶装置は以下のプロトコルに従うことができ、秘密鍵を適切に格納することができると仮定する。
サーバ34’などのサーバは、ある固定サイズ・データ・ブロック(例えば、記憶装置56に格納される論理装置51に属するデータ・ブロック57−k)に対してあるオペレーション(限定はしないが、読取りオペレーションや書込みオペレーションなど)を実行することを望むクライアント(例えばクライアント11)をホストすることができる。
クライアント11は、セキュリティ・アドミニストレータ70に証明書を要求することができる。クライアント11が、データ・ブロック57−kに対して要求したオペレーションを実行することが許可されていると仮定すると、セキュリティ・アドミニストレータ70は、機能情報および機能鍵を含む証明書をクライアント11に返すことによって応答する。
好都合なことに、証明書は、クライアントまたはクライアントの位置の識別とは無関係である。証明書をクライアントで使用して、ブロック・ベースのコマンドおよびデータを移送する任意のネットワーキング機構を使用して、任意の物理位置から論理装置51内の1つまたは複数の固定サイズ・データ・ブロックにアクセスすることができる。したがって、証明書ベースの解決策は、動的サーバ環境に適しており、動的サーバ環境を、トランスポート層として使用されるネットワーク技術と無関係にする。
機能情報は、データ・ブロック57−kに関してクライアント11のアクセス権を定義するが、通常は論理装置ごとに定義される。論理装置の一部ごとに機能情報を定義でき、その部分は1つまたは複数の固定サイズ・データ・ブロックを含むことに留意されたい。機能情報はパブリックである。機能情報はビットマップ(各ビット値が、あるタイプのオペレーションが許可されるかどうかを決定する)でよいが、他のフォーマットを有することもできる。
機能鍵は秘密である。セキュリティ・アドミニストレータ70と記憶装置56の間で共有される機能情報および秘密鍵に対して数学的関数(暗号一方向関数など)を適用することによって機能鍵を計算することができる。
クライアント11は、機能鍵および機能情報を受信し、機能鍵を使用することによって検証タグを計算する。検証タグの構造および使用法は、クライアント11と記憶装置56の間で情報を搬送するのに使用されるトランスポート層のセキュリティ・レベルに依存する。
例えば、ストレージ・エリア・ネットワーク40’が、FC−SPセキュア・チャネルなどのセキュア・チャネルを提供するセキュリティ機構を使用する場合、検証タグをクライアント11から記憶装置56に送信することができる。例えばストレージ・エリア・ネットワーク40’の安全性が低い場合、クライアント11から記憶装置56に送信する前の証明書のリプレイを回避するなどのために、検証タグまたは追加の情報あるいはその両方を計算することができる。
次いで、クライアント11は、ブロック・ベースの記憶アクセス・コマンドならびに機能情報および検証タグを記憶装置56に送信する。
記憶装置56は、ブロック・ベースの記憶アクセス・コマンド、機能情報、および検証タグを受信し、検証タグならびに秘密鍵を使用して、少なくとも機能情報を認証する。
検証が成功した場合、要求されたコマンドが実行される。そうでない場合、ブロック・ベースの記憶アクセス・コマンドが拒否される。
図3は、本発明の一実施形態による環境100を示す。
コンピュータ10’〜18’がストレージ・エリア・ネットワーク40’に接続される。したがって、コンピュータ10’〜18’は、1つまたは複数の記憶装置にアクセスするクライアントをホストすることができる。このクライアントは、セキュリティ・アドミニストレータと通信し、検証タグを計算し、ブロック・ベースの記憶アクセス・コマンドならびに暗号で保護されたアクセス制御情報を記憶装置に送信することができる。
説明を単純にするために、クライアント13(コンピュータ10’上でホストされる)が、論理装置55に属する固定サイズ・データ・ブロック55−jに対してあるオペレーション(限定はしないが、読取りオペレーションや書込みオペレーションなど)を実行することを望み、論理装置55が記憶装置54に格納されると仮定する。
クライアント13は、セキュリティ・アドミニストレータ70に証明書を要求する。クライアント13が要求されたオペレーションをデータ・ブロック55−jに対して実行することを許可されていると仮定すると、セキュリティ・アドミニストレータ70は、機能情報および機能鍵を含む証明書をクライアント13に返すことによって応答する。
機能情報は、データ・ブロック55−jまたは論理装置55全体に関するクライアント13のアクセス権を定義する。
機能情報、ならびにセキュリティ・アドミニストレータ70と記憶装置54の間で共有される秘密鍵に対して数学的関数(暗号一方向関数など)を適用することにより、機能鍵を(セキュリティ・アドミニストレータ70で)計算することができる。
クライアント13は、機能鍵および機能情報を受信し、機能鍵を使用することによって検証タグを計算する。検証鍵の構造および使用法は、クライアント13と記憶装置54の間のリンクのセキュリティ・レベルに依存する。
次いで、クライアント13は、記憶装置54で実行されるべきブロック・ベースの記憶アクセス・コマンド、ならびにクライアント13がセキュリティ・アドミニストレータ70から受信した機能情報と、クライアント13が計算した検証タグを記憶装置54に送信する。
記憶装置56は、ブロック・ベースの記憶アクセス・コマンド、機能情報、および検証タグ(または検証タグを表す情報)を受信し、検証タグならびに秘密鍵を使用して、少なくとも機能情報を認証する。
検証が成功した場合、要求されたコマンドが実行される。そうでない場合、ブロック・ベースの記憶アクセス・コマンドが拒否される。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドがブロック・ベースのSCSIコマンドである場合、ブロック・ベースの記憶アクセス・コマンドは、SCSI I/Oコマンド、ストレージ・コントローラ・コマンド、コピー・サービス用のSCSIコマンド、およびSCSI制御タイプ・コマンドでよい。
SCSI I/Oコマンドは、様々な形態のREADコマンドおよびWRITEコマンド、ならびに暗黙的Write(例えばFORMAT_UNIT SCSIコマンド)として見ることのできるSCSIコマンドを含むことができる。こうしたI/O SCSIコマンドについて、特定の論理装置を対象とするオペレーションの組に従って、アクセス権のリッチ・セットを定義することができる。
コントローラのコマンドは、REPORT LUNSコマンドを含むことができる。そのようなコマンドでは、機能情報は、コマンドが対象とする論理装置(例えばLUN 0)を指定すべきである。そのような機能は、Yes/Noポリシー(クライアントがコントローラに対する指定のコマンドを実行することができるかどうか)を実施する。
標準EXTENDED COPYコマンドを使用することにより、またはベンダ特有のコマンド・タイプを使用することにより、コピー・サービス用のSCSIコマンドをブロック装置でサポートすることができ、機構はそれらにも適用される。INQUIRYやSEND DIAGNOSTICなどの制御タイプ・コマンドへのアクセスを実施するのに機構を使用することもできる。
図4は、本発明の一実施形態による様々なエンティティ間の論理接続を示す。
図4は、仮想マシン111および113などのクライアントと、ストレージ・エリア・ネットワーク140と、セキュリティ・アドミニストレータ160と、記憶装置インターフェース52−1と、記憶装置52に格納される2つの論理装置51および53とを示す。
クライアントおよび論理装置を含む様々な論理エンティティを、様々な方式で互いに接続することのできる物理的装置でホストすることができ、またはそれに格納することができること、ならびにストレージ・エリア・ネットワーク140を、限定はしないがネットワーク20などの1つまたは複数のネットワークに先行させ、またはその後に続けることができることに留意されたい。
好都合なことに、図1のコンピュータ10〜18のうちのコンピュータで仮想マシンをホストすることができ、またはサーバ30’〜34’のうちのサーバでホストすることができる。仮想マシン111および113は、暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを使用することによって記憶装置52と通信する。
仮想マシン111は、一続きのステージによってブロック51−mなどの固定サイズ・データ・ブロックにアクセスすることができる。仮想マシン111はまず、仮想マシン111およびブロック51−m(または論理装置51)に関連するアクセス制御情報を受信する要求をセキュリティ・アドミニストレータ70に送信する。
セキュリティ・アドミニストレータ160からアクセス制御情報を受信した後、仮想マシン111は、ブロック・ベースの記憶アクセス・コマンドに関連する、暗号で保護されたアクセス制御情報を生成する。前記情報およびコマンド(ラップ・ブロック・ベース記憶アクセス・コマンドとも呼ばれる)が、ストレージ・エリア・ネットワーク140を介して、記憶装置52、特に記憶装置インターフェース52−1に送信される。記憶装置インターフェース52−1は、秘密鍵を使用して、ブロック・ベースの記憶アクセス・コマンドを実行すべきかどうかを判定する。
好都合なことに、仮想マシン111は、第1リンク(リンク163など)を介してラップ・ブロック・ベース記憶アクセス・コマンドを送信すると共に、別のリンク(リンク162など)を介してセキュリティ・アドミニストレータ160と情報を交換する。
図5は、本発明の一実施形態による記憶装置にアクセスする方法200を示す。
方法200の様々なステージを記憶装置で実装することができるが、これは必ずしもそうであるわけではない。
方法200は、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信するステージ220で開始する。ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報は、1つまたは複数の固定サイズ論理ブロックと関連付けられる。
好都合なことに、ブロック・ベースの記憶アクセス・コマンドは1つまたは複数の固定サイズ・ブロックと関連付けられ、暗号で保護されたアクセス制御情報は、1つまたは複数の固定サイズ・データ・ブロックならびに追加の固定サイズ・データ・ブロックを含む多くの固定サイズ・ブロックを含むことのできる論理装置または論理装置の一部と関連付けられる。
ステージ220の後に、記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、暗号で保護されたアクセス制御情報の少なくとも一部を処理するステージ230が続く。好都合なことに、ブロック・ベースの記憶アクセス・コマンドと保護されたアクセス制御情報は、共有秘密が送信される通信リンクとは異なる通信リンクを介して受信される。
好都合なことに、暗号で保護されたアクセス制御情報は機能情報および検証タグを含み、ステージ230は、検証タグおよび秘密鍵を使用することによって少なくとも機能情報を認証することを含む。
ステージ230の後に、処理の結果に応答してブロック・ベースの記憶アクセス・コマンドを選択的に実行するステージ240が続く。したがって、認証が成功した場合、ブロック・ベースの記憶アクセス・コマンドが実行される。
図6は、本発明の一実施形態による記憶装置にアクセスする方法300を示す。
方法300の様々なステージをクライアントで実装することができるが、これは必ずしもそうであるわけではない。
方法300は、1つまたは複数の固定サイズ論理ブロックおよびクライアントに関連するアクセス制御情報を受信する要求をセキュリティ・エンティティに送信するステージ320で開始する。
ステージ320の後に、アクセス制御情報を受信するステージ330が続く。
ステージ330の後に、アクセス制御情報に応答して、暗号で保護されたアクセス情報を生成するステージ340が続く。ステージ340は通常、セキュリティ・エンティティで提供される機能鍵を使用することを含む。
ステージ340の後に、暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを提供するステージ350が続く。
好都合なことに、ステージ320は第1リンクを使用することを含み、ステージ340は第2リンクを使用することを含む。
好都合なことに、ステージ340は、ストレージ・エリア・ネットワークを介してブロック・ベースの記憶アクセス・コマンドを提供することを含む。
図7は、本発明の一実施形態による記憶装置にアクセスする方法400を示す。
方法400の様々なステージを、クライアント、セキュリティ・エンティティ、記憶装置などのエンティティの組合せで実装することができるが、これは必ずしもそうであるわけではない。
方法400は、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントに関連するアクセス制御情報を受信する要求をセキュリティ・エンティティに送信するステージ410で開始する。少なくとも1つの固定サイズ・データ・ブロックは、論理装置または論理装置の一部を形成することができる。
ステージ410の後に、アクセス制御情報を提供するステージ420が続く。ステージ420はまた、機能鍵などの追加の情報を提供することも含む。
ステージ420の後に、アクセス制御情報および機能鍵に応答して、暗号で保護されたアクセス情報を生成するステージ430が続く。
ステージ430の後に、暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを記憶装置に送信するステージ440が続く。
ステージ440の後に、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信するステージ450が続く。ステージ450はまた、記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、暗号で保護されたアクセス制御情報の少なくとも一部を処理することも含む。
ステージ450の後に、処理の結果に応答してブロック・ベースの記憶アクセス・コマンドを選択的に実行するステージ460が続く。
ラップSCSIコマンドの様々な例示的フォーマットを以下に示す。ブロック・ベースのSCSIコマンドはコマンド・パラメータおよびデータを含むことができる[コマンド・パラメータ、データ]。
例えば、下にあるトランスポート層が保護され、メッセージ保全性および認証性、アンチリプレイ、ならびにman-in-the-middleアタックに対する保護を保証する場合、ラップSCSIコマンドは、[コマンド・パラメータ、機能情報、妥当性]データでよく、一方、妥当性タグはFKcap(セキュリティ・トークン)でよい。セキュリティ・トークンは、記憶装置で選ばれるトランスポート・セキュア・チャネルの固有識別子である。Kcapは機能鍵であり、関数Fは、機能鍵に対して適用される数学的関数である。
例えば、下にあるトランスポートが保護されない場合、ラップSCSIコマンドは、[コマンド・パラメータ、機能情報、データ][FK cap(セキュリティ・トークン、コマンド・パラメータ、機能情報、データ)]となり、ここでセキュリティ・トークンは、固有のコマンドごとのnonceでよく、好都合なことにアンチリプレイのための他のフィールドでよい。FK capは、証明書鍵を使用することによって適用される暗号関数を表す。
さらに、本発明は、コンピュータまたは任意の命令実行システムによって使用され、またはそれと共に使用されるプログラム・コードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラムの形態を取ることができる。この説明では、コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、機器、または装置で使用され、またはそれらと共に使用されるプログラムを収容、格納、通信、伝播、または移送することのできる任意の機器でよい。
媒体は、電子的システム、磁気的システム、光学的システム、電磁的システム、赤外線システム、または半導体システム(または機器または装置)または伝播媒体でよい。コンピュータ可読媒体の例は、半導体メモリまたは固体メモリ、磁気テープ、取外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)読取り専用メモリ(ROM)、硬質磁気ディスク、ならびに光ディスクを含む。光ディスクの現在の例は、コンパクト・ディスク−読取り専用メモリ(CD−ROM)、コンパクト・ディスク−読取り/書込み(CD−R/W)、およびDVDを含む。
プログラム・コードを格納または実行し、あるいはその両方を行うのに適したデータ処理システムは、システム・バスを介してメモリ要素に直接的または間接的に結合された少なくとも1つのプロセッサを含む。メモリ要素は、プログラム・コードの実際の実行中に使用されるローカル・メモリと、バルク・ストレージと、実行中にバルク・ストレージからコードを取り出さなければならない回数を削減するために少なくとも一部のプログラム・コードの一時記憶を実現するキャッシュ・メモリとを含むことができる。
入出力装置すなわちI/O装置(限定はしないが、キーボード、ディスプレイ、ポインティング・デバイスなどを含む)を、直接的に、または介入I/Oコントローラを介してシステムに結合することができる。
ネットワーク・アダプタをシステムに結合し、介入プライベートネットワークまたは介入公衆ネットワークを介してデータ処理システムを他のデータ処理システムまたはリモート・プリンタまたは記憶装置に結合することを可能にすることもできる。モデム、ケーブル・モデム、およびイーサネット(R)・カードは、現在入手可能なタイプのネットワーク・アダプタのほんの一部である。
特許請求される本発明の精神および範囲から逸脱することなく、本明細書で説明したものの変形形態、修正形態、および他の実装が当業者に思い浮かぶであろう。
したがって、本発明は、上記の例示的説明によって定義されず、添付の特許請求の範囲の精神および範囲によって定義される。
Claims (35)
- 記憶装置にアクセスする方法であって、
ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を記憶装置で受信することであって、前記ブロック・ベースの記憶アクセス・コマンドおよび前記暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントと関連付けられること、
前記記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、前記暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、および
前記処理の結果に応答して前記ブロック・ベースの記憶アクセス・コマンドを選択的に実行すること
を含む方法。 - 前記暗号で保護されたアクセス制御情報が、前記少なくとも1つの固定サイズ・データ・ブロックおよび追加の固定サイズ・データ・ブロックを含む論理装置の少なくとも一部と関連付けられる請求項1に記載の方法。
- 前記暗号で保護されたアクセス制御情報が、機能情報および検証タグを含み、前記処理が、前記検証タグおよび前記秘密鍵を使用することによって少なくとも前記機能情報を認証することを含む請求項1または2に記載の方法。
- 第1リンクを使用して前記秘密鍵を受信すると共に、第2リンクを介して前記ブロック・ベースの記憶アクセス・コマンドを受信することをさらに含む請求項1、2、または3に記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項1ないし4のいずれかに記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項1ないし5のいずれか一項に記載の方法。
- 記憶装置にアクセスする方法であって、
少なくとも1つの固定サイズ論理ブロックおよびクライアントに関連するアクセス制御情報を受信する要求をセキュリティ・エンティティに送信すること、
前記アクセス制御情報および機能鍵を受信すること、受信したアクセス制御情報および機能鍵に基づいて、暗号で保護されたアクセス情報を生成すること、および
前記暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを提供すること
を含む方法。 - 前記送信することが第1リンクを使用することを含むと共に、前記提供することが第2リンクを使用することを含む請求項7に記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項7または8に記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項7、8、または9に記載の方法。
- コンピュータ可読プログラムを含むコンピュータ使用可能媒体を含むコンピュータ・プログラムであって、前記コンピュータ可読プログラムが、コンピュータ上で実行されたときに、
ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を受信することであって、前記ブロック・ベースの記憶アクセス・コマンドおよび前記暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ論理ブロックおよびクライアントと関連付けられること、
前記記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、前記暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、および
前記処理の結果に応答して前記ブロック・ベースの記憶アクセス・コマンドを選択的に実行すること
を前記コンピュータにさせるコンピュータ・プログラム。 - 前記ストレージ・ベースのアクセス・コマンドが、少なくとも1つの固定サイズ・データ・ブロックと関連付けられ、前記暗号で保護されたアクセス制御情報が、前記少なくとも1つの固定サイズ・ブロックおよび追加の固定サイズ・データ・ブロックを含む論理装置と関連付けられる請求項11に記載のコンピュータ・プログラム。
- 前記暗号で保護されたアクセス制御情報が、機能情報および検証タグを含み、前記コンピュータ可読プログラムが、コンピュータ上で実行されたときに、前記検証タグおよび前記秘密鍵を使用することにより、少なくとも前記機能情報を前記コンピュータに認証させる請求項11または12に記載のコンピュータ・プログラム。
- 前記コンピュータ可読プログラムが、コンピュータ上で実行されたときに、前記コンピュータに、第2リンクを介して前記ブロック・ベースの記憶アクセス・コマンドを受信する間に、第1リンクを使用して前記秘密鍵を受信させる請求項11、12、または13のいずれかに記載のコンピュータ・プログラム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項11ないし14のいずれかに記載のコンピュータ・プログラム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項11ないし15のいずれかに記載のコンピュータ・プログラム。
- コンピュータ可読プログラムを含むコンピュータ使用可能媒体を含むコンピュータ・プログラムであって、前記コンピュータ可読プログラムが、コンピュータ上で実行されたときに、
少なくとも1つの固定サイズ・データ・ブロックおよびクライアントに関連するアクセス制御情報を受信する要求をセキュリティ・エンティティに送信すること、
前記アクセス制御情報および機能鍵を受信すること、
前記アクセス制御情報および前記機能鍵に基づいて、暗号で保護されたアクセス情報を生成すること、および
前記暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを提供すること
を前記コンピュータにさせるコンピュータ・プログラム。 - 前記コンピュータ可読プログラムが、コンピュータ上で実行されたときに、前記コンピュータに、第1リンクを介して少なくとも1つの固定サイズ・データ・ブロックに関連するアクセス制御情報を受信する要求を送信させ、第2リンクを介して前記暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを提供させる請求項17に記載のコンピュータ・プログラム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項17または18に記載のコンピュータ・プログラム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項17、18、または19に記載のコンピュータ・プログラム。
- データ・アクセス機能を有するシステムであって、
記憶媒体と、ブロック・ベースの記憶アクセス・コマンドおよび暗号で保護されたアクセス制御情報を受信するように適合された記憶装置インターフェースとを備える記憶装置であって、前記ブロック・ベースの記憶アクセス・コマンドおよび前記暗号で保護されたアクセス制御情報が、少なくとも1つの固定サイズ論理ブロックおよびクライアントと関連付けられ、前記記憶装置が、前記記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、前記暗号で保護されたアクセス制御情報の少なくとも一部を処理し、前記処理の結果に応答して前記ブロック・ベースの記憶アクセス・コマンドを選択的に実行するように適合される記憶装置
を備えるシステム。 - 前記暗号で保護されたアクセス制御情報が、前記少なくとも1つの固定サイズ・データ・ブロックおよび追加の固定サイズ・ブロックを含む論理装置の少なくとも一部と関連付けられる請求項21に記載のシステム。
- 前記暗号で保護されたアクセス制御情報が、機能情報および検証タグを含み、前記記憶装置が、前記検証タグおよび前記秘密鍵を使用することによって少なくとも前記機能情報を認証するように適合される請求項21または22に記載のシステム。
- 第1リンクを使用して前記秘密鍵を受信すると共に、第2リンクを介して前記ブロック・ベースの記憶アクセス・コマンドを受信するように適合される請求項21、22、または23に記載のシステム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項21ないし24のいずれかに記載のシステム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項21ないし25のいずれかに記載のシステム。
- ホスト・コンピュータおよびインターフェースを備えるシステムであって、前記インターフェースが、アクセス制御情報を受信するように適合され、前記ホスト・コンピュータが、少なくとも1つの固定サイズ・データ・ブロックおよびクライアントに関連する前記アクセス制御情報と、機能鍵とを受信する要求をセキュリティ・エンティティに送信し、前記アクセス制御情報および前記機能鍵に応答して、暗号で保護されたアクセス情報を生成し、前記暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを提供するように適合されたクライアントの少なくとも一部をホストするように適合されるシステム。
- 前記システムが、前記要求を送信するのに第1リンクを使用するように適合され、さらに、前記ブロック・ベースの記憶アクセス・コマンドを提供するのに第2リンクを使用するように適合される請求項27に記載のシステム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項27または28に記載のシステム。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項27、28、または29に記載のシステム。
- 記憶装置にアクセスする方法であって、
少なくとも1つの固定サイズ・データ・ブロックおよびクライアントに関連するアクセス制御情報を受信する要求をセキュリティ・エンティティに送信すること、
アクセス制御情報および機能鍵を提供すること、
前記アクセス制御情報および前記機能鍵に基づいて、暗号で保護されたアクセス情報を生成すること、
前記暗号で保護されたアクセス制御情報に関連するブロック・ベースの記憶アクセス・コマンドを記憶装置に送信すること、
前記ブロック・ベースの記憶アクセス・コマンドおよび前記暗号で保護されたアクセス制御情報を前記記憶装置で受信すること、
前記記憶装置およびセキュリティ・エンティティからアクセス可能な秘密鍵を使用することにより、前記暗号で保護されたアクセス制御情報の少なくとも一部を処理すること、および
前記処理の結果に応答して前記ブロック・ベースの記憶アクセス・コマンドを選択的に実行すること
を含む方法。 - 前記暗号で保護されたアクセス制御情報が、機能情報および検証タグを含み、前記処理が、前記検証タグおよび前記秘密鍵を使用することによって少なくとも前記機能情報を認証することを含む請求項31に記載の方法。
- 第1リンクを使用して前記秘密鍵を受信すると共に、第2リンクを介して前記ブロック・ベースの記憶アクセス・コマンドを受信することをさらに含む請求項31、または32に記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのSmallComputer System Interface (SCSI)コマンドである請求項31、32、または33に記載の方法。
- 前記ブロック・ベースの記憶アクセス・コマンドが、ブロック・ベースのGeneralParallel File System Virtual Shared Disk (GPFS/VSD)コマンドである請求項31、32、33、または34に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/422,096 US20080022120A1 (en) | 2006-06-05 | 2006-06-05 | System, Method and Computer Program Product for Secure Access Control to a Storage Device |
PCT/EP2007/055390 WO2007141206A2 (en) | 2006-06-05 | 2007-06-01 | System, method and computer program product for secure access control to a storage device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009540408A true JP2009540408A (ja) | 2009-11-19 |
Family
ID=38669544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009513657A Pending JP2009540408A (ja) | 2006-06-05 | 2007-06-01 | 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US20080022120A1 (ja) |
EP (1) | EP2027554A2 (ja) |
JP (1) | JP2009540408A (ja) |
CN (1) | CN101449275B (ja) |
IL (1) | IL195212A0 (ja) |
WO (1) | WO2007141206A2 (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7970919B1 (en) * | 2007-08-13 | 2011-06-28 | Duran Paul A | Apparatus and system for object-based storage solid-state drive and method for configuring same |
US9824006B2 (en) | 2007-08-13 | 2017-11-21 | Digital Kiva, Inc. | Apparatus and system for object-based storage solid-state device |
US11237956B2 (en) * | 2007-08-13 | 2022-02-01 | Digital Kiva, Inc. | Apparatus and system for object-based storage solid-state device |
CN101316273B (zh) * | 2008-05-12 | 2012-08-22 | 华中科技大学 | 一种分布式安全存储系统 |
US8140853B2 (en) | 2008-07-01 | 2012-03-20 | International Business Machines Corporation | Mutually excluded security managers |
US8375227B2 (en) | 2009-02-02 | 2013-02-12 | Microsoft Corporation | Abstracting programmatic representation of data storage systems |
JP4972670B2 (ja) * | 2009-06-05 | 2012-07-11 | 株式会社日立製作所 | 仮想計算機システム、そのアクセス制御方法及び通信装置 |
US8442228B2 (en) | 2010-04-06 | 2013-05-14 | MicroTechnologies LLC | Multi-class switching system and associated method of use |
US9147081B2 (en) * | 2010-07-27 | 2015-09-29 | Infinidat Ltd. | Method of access control to stored information and system thereof |
US9571576B2 (en) * | 2010-11-30 | 2017-02-14 | International Business Machines Corporation | Storage appliance, application server and method thereof |
CN102164177A (zh) * | 2011-03-11 | 2011-08-24 | 浪潮(北京)电子信息产业有限公司 | 一种集群共享存储池的方法、装置及系统 |
US8839375B2 (en) * | 2012-05-25 | 2014-09-16 | Microsoft Corporation | Managing distributed operating system physical resources |
US9094739B2 (en) | 2012-10-31 | 2015-07-28 | Unicorn Government, Inc. | Internet protocol switching system and associated method of use |
CN103248623B (zh) * | 2013-04-18 | 2017-02-08 | 广东一一五科技股份有限公司 | 在线存储区域访问控制方法及系统 |
US9424216B2 (en) | 2014-03-14 | 2016-08-23 | International Business Machines Corporation | Ascertaining configuration of a virtual adapter in a computing environment |
US9374324B2 (en) | 2014-03-14 | 2016-06-21 | International Business Machines Corporation | Determining virtual adapter access controls in a computing environment |
US9916263B2 (en) * | 2015-08-06 | 2018-03-13 | International Business Machines Corporation | Access of virtual machines to storage area networks |
US10911483B1 (en) * | 2017-03-20 | 2021-02-02 | Amazon Technologies, Inc. | Early detection of dedicated denial of service attacks through metrics correlation |
CN109684860B (zh) * | 2018-12-29 | 2020-08-14 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
US11354455B2 (en) | 2019-09-11 | 2022-06-07 | International Business Machines Corporation | Maintenance of access for security enablement on a host system |
US11188658B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a storage port |
US11308243B2 (en) | 2019-09-11 | 2022-04-19 | International Business Machines Corporation | Maintenance of access for security enablement in a storage device |
US11188659B2 (en) * | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a host port |
CN111447275B (zh) * | 2020-03-26 | 2021-01-01 | 深圳市中盛瑞达科技有限公司 | 存储系统和存储装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10260939A (ja) * | 1997-03-19 | 1998-09-29 | Fujitsu Ltd | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム |
JP2004287784A (ja) * | 2003-03-20 | 2004-10-14 | Fuji Xerox Co Ltd | アクセス制御装置および方法 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5048085A (en) * | 1989-10-06 | 1991-09-10 | International Business Machines Corporation | Transaction system security method and apparatus |
US5420998A (en) * | 1992-04-10 | 1995-05-30 | Fujitsu Limited | Dual memory disk drive |
US5557765A (en) * | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for data recovery |
US6049877A (en) * | 1997-07-16 | 2000-04-11 | International Business Machines Corporation | Systems, methods and computer program products for authorizing common gateway interface application requests |
US6405312B1 (en) * | 1998-09-04 | 2002-06-11 | Unisys Corporation | Kerberos command structure and method for enabling specialized Kerbero service requests |
CZ295455B6 (cs) * | 1998-10-14 | 2005-08-17 | Amecon Czech, S. R. O. | Způsob ochrany dat, uložených na paměťových médiích výpočetních systémů, a zařízení k provádění tohoto způsobu |
US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
US6449719B1 (en) * | 1999-11-09 | 2002-09-10 | Widevine Technologies, Inc. | Process and streaming server for encrypting a data stream |
US6971016B1 (en) * | 2000-05-31 | 2005-11-29 | International Business Machines Corporation | Authenticated access to storage area network |
US7012706B1 (en) * | 2000-10-10 | 2006-03-14 | Nexpress Digital Llc | System and method for interfacing with multiple production scanners |
US7072057B1 (en) * | 2000-10-10 | 2006-07-04 | Nexpress Digital Llc | System and method for interfacing with a production scanner |
US6915391B2 (en) * | 2000-12-15 | 2005-07-05 | International Business Machines Corporation | Support for single-node quorum in a two-node nodeset for a shared disk parallel file system |
US7134138B2 (en) * | 2001-02-15 | 2006-11-07 | Emc Corporation | Methods and apparatus for providing security for a data storage system |
JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
JP4221286B2 (ja) * | 2001-06-06 | 2009-02-12 | ヤフー! インコーポレイテッド | デジタル・コンテンツおよびストリーミングデータへのアクセスを管理するシステム及び方法 |
US7729495B2 (en) * | 2001-08-27 | 2010-06-01 | Dphi Acquisitions, Inc. | System and method for detecting unauthorized copying of encrypted data |
US7672903B2 (en) * | 2001-08-27 | 2010-03-02 | Dphi Acquisitions, Inc. | Revocation method and apparatus for secure content |
US7110982B2 (en) * | 2001-08-27 | 2006-09-19 | Dphi Acquisitions, Inc. | Secure access method and system |
US20030135465A1 (en) * | 2001-08-27 | 2003-07-17 | Lee Lane W. | Mastering process and system for secure content |
US7024427B2 (en) * | 2001-12-19 | 2006-04-04 | Emc Corporation | Virtual file system |
US7451217B2 (en) * | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
US20040148360A1 (en) * | 2003-01-24 | 2004-07-29 | Hewlett-Packard Development Company | Communication-link-attached persistent memory device |
US7590643B2 (en) * | 2003-08-21 | 2009-09-15 | Microsoft Corporation | Systems and methods for extensions and inheritance for units of information manageable by a hardware/software interface system |
US7822976B2 (en) * | 2007-03-08 | 2010-10-26 | Kinghood Technology Co., Ltd. | Network data security system and protecting method thereof |
-
2006
- 2006-06-05 US US11/422,096 patent/US20080022120A1/en not_active Abandoned
-
2007
- 2007-06-01 JP JP2009513657A patent/JP2009540408A/ja active Pending
- 2007-06-01 EP EP07729791A patent/EP2027554A2/en not_active Withdrawn
- 2007-06-01 WO PCT/EP2007/055390 patent/WO2007141206A2/en active Application Filing
- 2007-06-01 CN CN2007800183956A patent/CN101449275B/zh not_active Expired - Fee Related
-
2008
- 2008-11-11 IL IL195212A patent/IL195212A0/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10260939A (ja) * | 1997-03-19 | 1998-09-29 | Fujitsu Ltd | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム |
JP2004287784A (ja) * | 2003-03-20 | 2004-10-14 | Fuji Xerox Co Ltd | アクセス制御装置および方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101449275B (zh) | 2011-11-30 |
WO2007141206A2 (en) | 2007-12-13 |
WO2007141206A3 (en) | 2008-02-07 |
EP2027554A2 (en) | 2009-02-25 |
IL195212A0 (en) | 2009-08-03 |
US20080022120A1 (en) | 2008-01-24 |
CN101449275A (zh) | 2009-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009540408A (ja) | 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム | |
US11695757B2 (en) | Fast smart card login | |
KR102036758B1 (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
JP3779154B2 (ja) | ネットワークに接続された記憶システムのデータ管理を提供する方法および装置 | |
US9147081B2 (en) | Method of access control to stored information and system thereof | |
US8042155B1 (en) | System and method for generating a single use password based on a challenge/response protocol | |
CA2728895C (en) | Secure high performance multi-level security database systems and methods | |
US10833856B2 (en) | Automatic re-authentication of links using a key server | |
US20090276774A1 (en) | Access control for virtual machines in an information system | |
US10360237B2 (en) | Secure data replication | |
US11841985B2 (en) | Method and system for implementing security operations in an input/output device | |
KR20010053328A (ko) | 네트워크에 결합된 기억 시스템으로의 접속을 인증하기위한 방법 및 장치 | |
US20100161981A1 (en) | Storage communities of interest using cryptographic splitting | |
WO2021129003A1 (zh) | 一种密码管理方法及相关装置 | |
US20130173930A1 (en) | Adding or replacing disks with re-key processing | |
US10721719B2 (en) | Optimizing caching of data in a network of nodes using a data mapping table by storing data requested at a cache location internal to a server node and updating the mapping table at a shared cache external to the server node | |
US20100161964A1 (en) | Storage communities of interest using cryptographic splitting | |
US11200321B2 (en) | Maintaining trust on a data storage network | |
CN109254872A (zh) | 一种针对教育大数据的安全访问系统 | |
US11502853B2 (en) | Establishing trust on a data storage network | |
Factor et al. | Capability based secure access control to networked storage devices | |
TWI406545B (zh) | Linux系統下的多路徑訪問遠端邏輯設備的方法 | |
US8181011B1 (en) | iSCSI name forwarding technique | |
CN107517268A (zh) | 一种基于san存储的数据操作方法、装置及系统 | |
JP2024510881A (ja) | マルチクラウド環境における量子鍵配送 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100323 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120424 |